Questão:

O que afetará nas companhias que tenham que processar dados de residentes europeus, independentemente da localização, e melhorar ainda mais em relação a proteção de dados dos clientes?

Resposta:

O regulamento GDPR, visa reforçar o direito dos cidadãos à proteção de dados e facilitar os processos que necessitam de mais clareza de informações pessoais dos cidadãos europeus.

Abaixo alguns pontos que são abordados no regulamento:

• As empresas deverão ter uma pessoa ou departamento responsável para servir de ponte entre as companhias e garantir que o regulamento seja cumprido;
• Será necessário notificações em caso de vazamentos de informações e incidentes que possam causar algum tipo de dano ao titular das informações, com prazo máximo de 72 horas;
• Criação de Órgãos Controladores Locais, para cada país membro;
• Privacidade de dados de crianças menores de 13 anos, que deverá ter a ciência dos responsáveis;
• Como direito dos cidadãos, o regulamento especifica que deverá ter facilidade de acesso a todas informações com transparência, com direito a retificação de dados, direito de se opor, de portabilidade e de ser excluído quando solicitado;
• Caso o regulamento não seja atendido conforme especificações estarão sujeitos a multa, que podem chegar a 20 milhões de Euros.

Os Estados membros, juntamente com as Autoridades de Controle, Comitê e Comissão em âmbito da União criarão procedimentos de certificação, como selos e marcas de proteção de dados. Os responsáveis pelo tratamento ou subcontratantes, assumem compromisso de garantir os direitos dos titulares adequadamente.

Através de Organismos de Certificação, serão emitidos e renovados os selos e marcas de proteção de dados, que deverão informar para as Autoridades de Controle suas competências de forma satisfatórias, desde independência, comprometimento aos critérios exigidos, como estrutura para emissão, revisão periódica e retirada de procedimentos de certificação, estrutura para tratar reclamações e violações de certificação, e assim demonstrarem aptidão para os procedimentos de concessão ou revogação de certificação.

O regulamento apresentado não detalha como será elaborado o certificado em questão de validação do sistema, desta forma deverá aguardar um posicionamento dos Órgãos competentes com um parecer sobre as ações que deverão ser tomadas.

A Lei 13.709/2018 (Marco Civil da Internet), recepcionou o acordo internacional de Proteção aos Dados e inserindo o Brasil na estrutura de países que criarão mecanismos para a proteção geral dos dados de pessoas, de direito público ou privado de forma global, instituindo disciplinas, funcionalidades, direitos e deveres a ser cumpridos, observando com boa-fé a segurança, qualidade, transparência, não discriminação, prevenção, livre acesso, adequação, finalidade e necessidade. A Lei Geral de Proteção de Dados, estabelece uma série de diretrizes sobre o tratamento de dados pessoais de pessoas físicas ou jurídicas, praticados por pessoa natural ou pessoa jurídica de direito público ou privado desde que tenha o objetivo de fornecer bens ou serviços ou tratamento de dados de indivíduos localizados no país. 

De acordo com o inciso X, art 5º da Lei 13709/2018 (também conhecida como Marco Civil da Internet, que recepcionou a Lei Geral de Proteção de Dados Pessoais - LGPD) o tratamento mencionado está relacionado a todas as operações realizadas com dados pessoais que se referem a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Os referidos tratamentos só poderão ser realizados por consentimento, para cumprimento de obrigação legal ou pela adm. pública para a execução de políticas públicas previstas em algum ato normativo ou qualquer outro instrumento ou contrato. Também poderá ser realizado em processos judiciais, administrativos ou arbitrais, proteção da vida, da saúde, do crédito ou algum interesse do controlador. 

A manipulação destes dados deverá ser realizada por controlador que é a pessoa responsável por todas as decisões sobre o tratamento de dados pessoais ou pelo operador responsável pela manipulação destes dados em nome do controlador. Os agentes de tratamento (denominação dada ou operador e controlador) serão responsáveis por adotar as medidas de segurança e sigilo do dados, além de técnicas de proteção de invasões ou acessos não autorizados e qualquer forma de tratamento ilícito ou inadequado.